Gabriel V.
Pourquoi c’est important : les attaques « Bring Your Own Vulnerable Driver » utilisent des drivers légitimes qui permettent aux pirates de désactiver facilement les solutions de sécurité sur les systèmes cibles et d’y déposer des logiciels malveillants supplémentaires. C’est devenu une technique populaire parmi les opérateurs de rançongiciels et les pirates informatiques soutenus par l’État ces dernières années, et il semble que des acteurs malveillants aient trouvé un moyen de le faire fonctionner sur à peu près n’importe quel PC exécutant Windows.
Un ingénieur de CrowdStrike a révélé une nouvelle menace de cybersécurité appelée « Terminator », qui est censée tuer presque toutes les solutions de sécurité antivirus, Endpoint Detection and Response (EDR) et Extended Detection and Response (XDR).
« Terminator » est vendu sur un forum de piratage russe appelé Ramp par un acteur malveillant connu sous le nom de Spyboy, qui a commencé à faire la publicité de l’outil d’évasion des terminaux le 21 mai. L’auteur affirme que l’outil est capable de contourner les mesures de protection de pas moins de 23 sécurité solutions, avec des prix allant de 300 $ pour un contournement unique à 3 000 $ pour un contournement tout-en-un.
Windows Defender est l’un des antivirus qui peut être contourné et l’outil fonctionne sur tous les appareils exécutant Windows 7 et les versions ultérieures. Selon la plupart des estimations, Windows Vista et Windows XP s’exécutent désormais sur moins de 1 % de tous les PC, ce qui indique que Terminator a un impact sur presque tous les utilisateurs de Windows, même ceux qui n’utilisent pas de solution de sécurité tierce d’entreprises telles que BitDefender, Avast, ou Malwarebytes.
Andrew Harris, directeur principal mondial chez CroudStrike, explique que Terminator est essentiellement une nouvelle déclinaison de l’attaque de plus en plus populaire Bring Your Own Vulnerable Driver (BYOVD). Pour l’utiliser, les « clients » doivent d’abord obtenir des privilèges administratifs sur les systèmes cibles et inciter l’utilisateur à autoriser l’outil à s’exécuter via la fenêtre contextuelle de contrôle de compte d’utilisateur (UAC).
Terminator déposera alors un driver de Core anti-malware Zemana légitime et signé dans le dossier C:\Windows\System32\drivers\. Normalement, le fichier en question s’appellerait « zam64.sys » ou « zamguard64.sys », mais Terminator lui donnera un nom aléatoire entre quatre et dix caractères. Une fois ce processus terminé, l’outil mettra simplement fin à tous les processus en mode utilisateur créés par un logiciel antivirus ou EDR.
Le mécanisme exact derrière Terminator n’est pas connu, mais une bonne supposition est qu’il fonctionne de la même manière qu’un exploit de preuve de concept suivi sous CVE-2021-31727 et CVE-2021-31728 qui permettent d’exposer des capacités de lecture/écriture de disque illimitées. et exécuter des commandes en utilisant des privilèges au niveau du Core.
Alors que l’auteur de l’outil affirme qu’il ne trompera que 23 solutions de sécurité, une analyse de VirusTotal montre que le fichier de driver utilisé par Terminator n’est pas détecté par 71 AV et EDR. Seul Elastic a signalé le fichier comme potentiellement malveillant, mais Harris affirme qu’il existe des moyens de vérifier si le driver est légitime en surveillant les écritures de fichiers inhabituelles dans C:\Windows\System32\drivers.
Alternativement, vous pouvez utiliser les règles YARA et Sigma créées par des chercheurs sur les menaces comme Florian Roth et Nasreddine Bencherchali pour identifier rapidement le driver vulnérable par hachage ou nom. Vous pouvez également atténuer l’attaque en bloquant simplement le certificat de signature du driver Zemana Anti-Malware.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
